AWS CLI esempio di concessione delle autorizzazioni su una tabella Amazon S3

Concessione di autorizzazioni

Dopo aver integrato le tabelle S3 con AWS Lake Formation, puoi concedere le autorizzazioni sul catalogo di tabelle S3 e sugli oggetti del catalogo (table bucket, database, tabelle) ad altri ruoli e utenti IAM del tuo account. Le autorizzazioni di Lake Formation consentono di definire i controlli di accesso a livello di tabella, colonna e riga per gli utenti di motori analitici integrati come Amazon Redshift Spectrum e Athena.

È possibile concedere le autorizzazioni utilizzando il metodo named resource o il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC). Prima di concedere le autorizzazioni utilizzando i tag LF e le espressioni dei tag LF, è necessario definirle e assegnarle agli oggetti del Data Catalog.

Per ulteriori informazioni, consulta Gestione dei tag LF per il controllo dell'accesso ai metadati.

Puoi condividere database e tabelle con AWS account esterni concedendo le autorizzazioni di Lake Formation agli account esterni. Gli utenti possono quindi eseguire query e lavori che uniscono e interrogano tabelle su più account. Quando condividi una risorsa del catalogo con un altro account, i responsabili di quell'account possono utilizzare quella risorsa come se la risorsa si trovasse nel loro catalogo dati.

Quando condividi database e tabelle con account esterni, l'autorizzazione Super user non è disponibile.

Per istruzioni dettagliate sulla concessione delle autorizzazioni, consulta la Gestione delle autorizzazioni di Lake Formation sezione.

AWS CLI esempio di concessione delle autorizzazioni su una tabella Amazon S3


aws lakeformation grant-permissions \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier":"arn:aws:iam::111122223333:role/DataAnalystRole"
    },
    "Resource": {
        "Table": {
            "CatalogId":"111122223333:s3tablescatalog/amzn-s3-demo-bucket1",
            "DatabaseName":"S3 table bucket namespace <example_namespace>",
            "Name":"S3 table bucket table name <example_table>"
        }
    },
    "Permissions": [
        "SELECT"
    ]
}'

Di seguito sono riportati i parametri da includere nel comando:

DataLakePrincipalIdentifier — ARN di utenti, ruoli o gruppi IAM per concedere le autorizzazioni
CatalogId — ID dell' AWS account a 12 cifre che possiede il Data Catalog
DatabaseName — Nome dello spazio dei nomi del bucket di tabella Amazon S3
Nome: nome della tabella bucket di Amazon S3
Autorizzazioni: autorizzazioni da concedere. Le opzioni includono: SELECT, INSERT, DELETE, DESCRIBE, ALTER, DROP, ALLL e SUPER

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione di un bucket da tavolo Amazon S3 in un altro account AWS

Accesso a tabelle Amazon S3 condivise